Analys¨¦ par: Roland Marco Dela Paz   
 

Backdoor:Win32/Morix.B (Microsoft)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
?±ô±ð±¹¨¦
Critique

  • Type de grayware:
    Backdoor

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild::
    Oui

  Overview

Voie d'infection: Fallen gelassen von anderer Malware, Aus dem Internet heruntergeladen

Wird m?glicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.

L?scht Dateien, so dass Programme und Anwendungen nicht ordnungsgem?? ausgef¨¹hrt werden.

F¨¹hrt Befehle eines externen, b?swilligen Benutzers aus, wodurch das betroffene System gef?hrdet wird. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Sammelt bestimmte Informationen auf dem betroffenen Computer.

  D¨¦tails techniques

File size: 2,679,941 bytes
File type: PE
Memory resident: Oui
Date de r¨¦ception des premiers ¨¦chantillons: 25 mai 2012
Charge malveillante: Steals information, Connects to URLs/IPs, Terminates processes

?bertragungsdetails

Wird m?glicherweise von der folgenden Malware/Grayware/Spyware von externen Sites heruntergeladen:

  • JS_LOADER.WRG

Wird m?glicherweise von den folgenden externen Sites heruntergeladen:

  • http://{BLOCKED}.{BLOCKED}.205.102:8888/cx.exe

Installation

Schleust folgende Komponentendateien ein:

  • %Program Files%\Common Files\System\seext.dll - also detected as BKDR_MORIX.WRG
  • %Program Files%\Windows NT\appgmts.dll - also detected as BKDR_MORIX.WRG
  • %System%\wbem\seext.dll - also detected as BKDR_MORIX.WRG
  • D:\seext.dll - also detected as BKDR_MORIX.WRG

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)

Schleust folgende nicht b?sartigen Dateien ein:

  • D:\Setup.exe - legitimate 360 Secure Browser component
  • %Program Files%\Common Files\System\SPOOLS.EXE - legitimate 360 Secure Browser component

(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.)

Autostart-Technik

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
@ = "%Program Files%\Common Files\System\SPOOLS.EXE"

Andere System?nderungen

L?scht die folgenden Dateien:

  • %System Root%\ntldr.sys

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Backdoor-Routine

F¨¹hrt die folgenden Befehle eines externen, b?swilligen Benutzers aus:

  • Log keystrokes
  • Modify system settings
  • Download and execute file(s)
  • Query/modify Terminal Server settings
  • Capture video

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

  • aaaai.{BLOCKED}p.net

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgef¨¹hrt werden:

  • F-Secure
  • ALYac
  • Bit-Defend
  • AVG
  • Avast
  • NOD32

Datendiebstahl

Sammelt die folgenden Informationen auf dem betroffenen Computer:

  • Computer name
  • Processor speed (in MHz)
  • Operating system version
  • Number of processors
  • Total amount of memory (in MB)

  Solutions

Moteur de scan minimum: 9.200

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von BKDR_MORIX.WRG

    ?JS_LOADER.WRG

Step 3

Im abgesicherten Modus neu starten

[ learnMore ]

Step 4

Diese Dateien suchen und l?schen

[ learnMore ]
M?glicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter "Weitere erweiterte Optionen", um alle verborgenen Dateien und Ordner in den Suchergebnissen zu ber¨¹cksichtigen.
D:\Setup.exe - legitimate 360 Secure Browser component
%Program Files%\Common Files\System\SPOOLS.EXE
DATA_GENERIC_FILENAME_1
  • W?hlen Sie im Listenfeld lt;i>Suchen in die Option Arbeitsplatz, und dr¨¹cken Sie die Eingabetaste.
  • Markieren Sie die gefundene Datei, und dr¨¹cken Sie UMSCHALT+ENTF, um sie endg¨¹ltig zu l?schen.
  • Wiederholen Sie die Schritte 2 bis 4 f¨¹r die ¨¹brigen Dateien:
      D:\Setup.exe - legitimate 360 Secure Browser component
      %Program Files%\Common Files\System\SPOOLS.EXE

    • Step 5

    Diesen Registrierungswert l?schen

    [ learnMore ]

    Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
      • @ = %Program Files%\Common Files\System\SPOOLS.EXE

    Step 6

    F¨¹hren Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt nach Dateien, die als BKDR_MORIX.WRG entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


    Participez ¨¤ notre enqu¨ºte!

    Fichier associ¨¦